Есть файл dgen.exe, который грузит процессор на 100%. Я так понимаю, что это наверное вирус. Прикрепляю 3 файла логов:
Есть файл dgen.exe, который грузит процессор на 100%. Я так понимаю, что это наверное вирус. Прикрепляю 3 файла логов:
Уважаемый(ая) armanarman, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe',''); QuarantineFile('C:\Program Files\PCDApp\StartHelp.exe',''); TerminateProcessByName('c:\documents and settings\arman\local settings\temp\svchost.exe'); QuarantineFile('c:\documents and settings\arman\local settings\temp\svchost.exe',''); DeleteFile('c:\documents and settings\arman\local settings\temp\svchost.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae'); DeleteFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепляю файлы. Посмотрел карантин, а он пустой. Сделал проверку mbam, найдено 16 вирусов. Внизу есть кнопка "quarantine all". Применить ее?
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\documents and settings\arman\local settings\temp\svchost.exe'); QuarantineFile('C:\Program Files\pcdapp\starthelp.exe',''); QuarantineFile('c:\windows\system32\spool\drivers\w32x86\3\lxcgtime.dll',''); QuarantineFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe',''); QuarantineFile('c:\documents and settings\arman\local settings\temp\svchost.exe','Trojan.Win32.Fsysna.aofa'); QuarantineFile('C:\Program Files\Surftastic\Surftastic.FirstRun.exe',''); QuarantineFile('C:\WINDOWS\Explorer.sav',''); DeleteFile('c:\documents and settings\arman\local settings\temp\svchost.exe','32'); DeleteFile('C:\Documents and Settings\arman\Start Menu\Programs\Startup\787c33e3d27b0b61a700da6260709cae.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','787c33e3d27b0b61a700da6260709cae'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Поместите в карантин МВАМ всё найденное.
Сделайте новый лог сканирования MBAM
Новые логи. Карантин не могу загрузить. Пишет "Ошибка загрузки. Данный файл уже был загружен", хотя я ничего не загружал. Поэтому загрузил через управление вложениями. Как поместить в карантин MBAM файлы?
Последний раз редактировалось thyrex; 21.09.2014 в 14:32.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепляю лог MBAM. Проверил MBAM-ом, нашел 15 вирусов. Нажал на кнопку quarantine вроде исчезли они.
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделайте свежий лог сканирования MBAM и что с проблемой?
Заново проверил MBAM-ом, нашлось 4 вируса. Прикрепляю лог. Проблема еще осталась. В task manager-e исчез dgen.exe, но остался svchost.exe, запускаемый от имени пользователя (т.е. вирус).
Удалите в MBAM (переместите в карантин) всё найденное.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
лог от uvs:
- - - - -Добавлено - - - - -
Что делать с вирусом svchost.exe?
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v383c ; C:\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 24 Trojan.Win32.Fsysna.aofa [Kaspersky] sreg chklst delvir zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE ; C:\DOCUMENTS AND SETTINGS\ARMAN\START MENU\PROGRAMS\STARTUP\787C33E3D27B0B61A700DA6260709CAE.EXE zoo %SystemDrive%\PROGRAM FILES\PCDAPP\CSTART.BAT delall %SystemDrive%\PROGRAM FILES\PCDAPP\CSTART.BAT delall %SystemDrive%\PROGRAM FILES\PCDAPP uidel "C:\Program Files\PCDApp\uninstaller.exe" deltmp delnfr czoo areg
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
WBR,
Vadim
2 раза выполнял этот скрипт, но в папке uVS нету указанного zip-архива. Поиск windows тоже ничего не дал.
новый лог uVS:
Загрузите систему в безопасном режиме с поддержкой сети.
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v383c zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\LOCAL SETTINGS\TEMP\SVCHOST.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\START MENU\PROGRAMS\STARTUP\787C33E3D27B0B61A700DA6260709CAE.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ARMAN\START MENU\PROGRAMS\STARTUP\787C33E3D27B0B61A700DA6260709CAE.EXE zoo %SystemDrive%\PROGRAM FILES\PCDAPP\STARTHELP.EXE delall %SystemDrive%\PROGRAM FILES\PCDAPP\STARTHELP.EXE del C:\Program Files\PCDApp\cstart.bat zoo %SystemRoot%\TEMP\NSP3.TMP\NS4.TMP delall %SystemRoot%\TEMP\NSP3.TMP\NS4.TMP delref .. deldir %SystemDrive%\PROGRAM FILES\PCDAPP uidel "C:\Program Files\PCDApp\uninstaller.exe" delnfr deltmp czoo restart
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый полный образ автозапуска uVS.
WBR,
Vadim
ZOO_2014-09-24_10-19-59.zip загружен через форму отправки карантина. Новый лог uVS пытаюсь загрузить, но пишет что места свободного нету.
- - - - -Добавлено - - - - -
по ходу что-то загрузилось
Загрузите образ на rghost.ru и дайте ссылку в теме.
То что выложили - это лог выполнения скрипта.
WBR,
Vadim
Уважаемый(ая) armanarman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.